如要在 Google Cloud 應用程式中驗證使用者,Google 提供下列方法:
| 驗證服務 | 目的 |
|---|---|
| Firebase 驗證 | 提供多種使用者驗證選項,包括透過 Google、Facebook 和 Twitter 進行驗證。這種方法可支援最多使用者,同時使用最少量的程式碼。 |
| Google 登入 | Google 登入功能提供 Gmail 和 Google Workspace 帳戶登入服務,並支援一次性密碼 (OTP)。如果只是要支援 Google 帳戶,或是在現有登入系統中支援 Google 帳戶,那麼這是最簡單的方法。 |
| OAuth 2.0 和 OpenID Connect | OpenID Connect 可讓您從頭開始處理及使用驗證代碼,且提供最多自訂空間。 |
| Google Cloud Identity Platform | Identity Platform 是客戶身分與存取權管理 (CIAM) 平台,可協助機構將身分與存取權管理功能導入應用程式。這個選項適合想自行擔任身分提供者的使用者。 |
| Users API | Users API 是用於驗證 Google 和 Google Workspace 帳戶的舊版套裝服務之一。這項內建 API 僅適用於 App Engine。 |
| Identity-Aware Proxy (IAP) | 在要求傳送到應用程式資源之前,IAP 可讓您控管 App Engine 服務的存取權。IAP 可讓您為應用程式建立中央授權層,並與簽署標頭或 App Engine Users API 搭配使用,確保應用程式安全無虞。與這個表格中的其他驗證服務不同,IAP 會在應用程式可供存取前執行驗證。這個頁面的其他選項則是在應用程式中實作驗證。 |
Firebase 驗證
Firebase 驗證提供設計完善、安全無虞且能夠獨立運作的驗證系統,便於您讓使用者選擇想用的帳戶登入。Firebase 驗證除了支援 Google、Facebook、Twitter 和其他服務的聯合登入機制外,還支援密碼驗證,讓您在電腦和行動裝置上輕鬆擴充驗證系統。
如要為 Google App Engine 應用程式設定使用者驗證,Firebase 驗證是最簡單的方法。您可以參考下列資源,進一步瞭解 Firebase 驗證:
在 App Engine 上使用 Firebase 來驗證使用者說明如何在伺服器上擷取、驗證及儲存使用者憑證。
Firebase 網路教學課程著重在如何在網站上使用 Firebase,包括以 Google 做為識別資訊提供者進行使用者登入。
Firebase 快速入門導覽課程應用程式會透過聯合登入和使用者名稱/密碼登入等範例,說明如何跨平台整合 Firebase。這些示例說明如何透過 JavaScript SDK 使用 Firebase 驗證,以及在 iOS 和 Android 作業系統上使用 Firebase 驗證的方法。
Google 登入
如果您想在網站或應用程式中提供 Google 登入按鈕,或是您在網域中使用 Google 管理控制台,且想根據 Google 登入資訊來驗證使用者,則可使用 Google 登入。Google 登入是我們使用 OAuth 2.0 和 OpenID Connect 通訊協定打造的登入用戶端程式庫。
Google 登入適用於網頁應用程式、iOS和 Android。
OAuth 2.0 和 OpenID Connect
Google 登入功能是以 Google 的 OAuth 2.0 實作方式為基礎,符合 OpenID Connect 規格,並已通過 OpenID 認證。
OpenID Connect 是以 OAuth 2.0 通訊協定為基礎的識別層級,應用程式可使用這項技術擷取使用者個人資料。
Identity Platform
Identity Platform 提供可自訂的置入式身分識別和驗證服務,能用於使用者的註冊及登入程序。Identity Platform 支援多種驗證方法 (SAML、OIDC、電子郵件/密碼、社交媒體、手機和其他自訂驗證方法),能夠為各種身分解決方案提供靈活的整合選項。Identity Platform 奠基於Google Cloud的全球規模、效能、網路與安全性,同時提供企業級支援服務與服務水準協議,能滿足幾乎所有應用程式或服務的需求。
Identity Platform 提供專屬的使用者身分系統。如果您已為網域使用 Google Workspace,並想根據該登入資訊驗證使用者,請使用 Google 登入。
如要瞭解如何整合 Identity Platform 與 App Engine,請參閱這篇操作指南,瞭解如何在 App Engine 中登入使用者。
Users API
Users API 可讓應用程式執行下列工作:
- 偵測目前的使用者是否已登入。
- 將使用者重新導向至適當的登入頁面以進行登入。
- 如果使用者沒有 Google 帳戶,則要求使用者建立新帳戶。
使用者登入應用程式後,應用程式便可存取該使用者的電子郵件地址,還可偵測目前的使用者是否為管理員,方便您實作應用程式的管理員專屬區域。
詳情請參閱 Users API 總覽頁面。
Identity-Aware Proxy (IAP)
IAP 會在資源前方新增驗證和授權層,保護應用程式安全,防止外部要求入侵。IAP 無法保護專案內的活動,例如同一專案中的其他 App Engine 服務。未獲授權存取您應用程式的使用者,無法存取 App Engine 應用程式。
只有具備正確身分與存取權管理 (IAM) 角色的主體,才能存取受 IAP 保護的服務或應用程式。使用者嘗試存取 IAP 保護的資源時,IAP 會為您執行驗證及授權檢查。如要瞭解 IAP 如何保護應用程式資源,請參閱 IAP 總覽。
您可以為整個應用程式啟用 IAP,也可以為應用程式的特定服務或版本啟用。請參閱 IAP 快速入門導覽課程,瞭解如何為 App Engine 資源設定 IAP。